Il mondo della cyber sicurezza avverte del ritorno di Qbot. Nuovi attacchi phishing usano vulnerabilità zero-day di Windows per rilasciare il dropper Qbot senza visualizzare gli avvertimenti di sicurezza Mark of the Web (MoTW).
“Questa campagna”, commenta Paolo Passeri, Cyber Intelligence Principal di Netskope, “rappresenta l’ultimo esempio di come gli attaccanti siano costantemente alla ricerca di nuovi metodi per distribuire QBot (conosciuto anche come QakBot o QuackBot), un malware che nel corso degli anni ha cambiato la propria natura e di conseguenza il modo in cui gli attaccanti lo utilizzano”.
Ecco come proteggersi dal DLL hijacking dal Pannello di controllo del sistema operativo di Microsoft.
Indice degli argomenti
Qbot sfrutta la vulnerabilità zero-day Windows
In precedenza noto come trojan bancario, Qbot si è poi evoluto in dropper. Ora sfrutta il Pannello di controllo di Windows 10 per installare malware.
“Creato originariamente come un information stealer di tipo finanziario”, spiega Paolo Passeri, “si è progressivamente trasformato in un dropper flessibile per gli attaccanti, utilizzato nel corso del 2022 per distribuire diversi payload, tra cui l’infausta partnership con il ransomware Black Basta (non il primo caso dal momento che in precedenza lo stesso meccanismo di distribuzione era stato utilizzato dalle gang ProLock e Egregor)”.
“Gli attaccanti non sono nuovi all’utilizzo di vulnerabilità 0-day”, mette in evidenza Paolo Passeri: “Già durante giugno 2022, quasi in contemporanea alla partnership con Black Basta, la famosa vulnerabilità ‘Follina’ (CVE-2022-30190) era stata sfruttata per distribuire molteplici payload malevoli tra cui, in maniera non sorprendente, QBot”.
“Dopo una breve pausa, alla fine di settembre si è assistito ad un ritorno del malware in diverse campagne (scoperte ad esempio da Kaspersky e Trend Micro), e lo stesso continua ad essere il protagonista di molteplici azioni malevole con una inusuale creatività da parte degli attaccanti (come ad esempio l’utilizzo di tecniche di ‘DLL hijacking’ ai danni dell’applicazione calcolatrice di Windows e del pannello di controllo). Evidentemente la sua flessibilità giustifica la continua ricerca di nuovi metodi di distribuzione”, conclude l’analista di Netskope.
I dettagli
I cyber criminali hanno svolto l’attacco di phishing utilizzando la tecnica del reply-chain email. Sono dunque entrati nella discussione mediante indirizzi legittimi. Nel messaggio si suggerisce di leggere un file HTML allegato, segnalato con l’icona di Chrome.
Il download dei file avviene infatti da allegati email, a cui Windows aggiunge un attributo speciale al file con attribuzione Mark of the Web. Ma in questo caso non avviene la visualizzazione degli avvertimenti di sicurezza che chiedono all’utente se è sicuro di voler aprire il file richiesto.
Una volta aperto, il file Html espone l’icona di Google Drive e la password di un archivio Zip, che si scarica è in automatico.
L’archivio ZIP include un’immagine ISO contenente quattro file: un .LNK, l’eseguibile control.exe e due DLL (edputil.dll e msoffice32.dll).
Appena l’utente digita sul file .LNK, prende il via il DLL hijacking. Avvia l’eseguibile del Pannello di controllo di Windows 10 (control.exe) che esegue edputil.dll nella stessa directory. Dunque non la directory ufficiale in C:\Windows\System32.
La falsa DLL carica in memoria QBot via msoffice32.dll. Il dropper eseguito in background può rubare le email ed effettuare il download di altri payload. Brute Ratel or Cobalt Strike, per esempio, permettono di effettuare l’accesso alla rete aziendale, trafugare dati personali o sensibili e installare ransomware.
L’antecedente
Un mese fa il team di threat intelligence di HP riportava che un attacco phishing stava distribuendo il ransomware Magniber usando file JavaScript.
Questi file JavaScript sono file standalone con l’estensione ‘.JS’ eseguiti grazie a Windows Script Host (wscript.exe).
Una volta analizzati i file, Will Dormann, senior vulnerability analyst presso Analygence, scopriva che i threat actor stavano usando una nuova vulnerabilità zero-day di Windows in grado di bypassare la visualizzazione del security warning Mark of the Web.
L’exploit di questa vulnerabilità sfruttava un JS file (od altri tipi di file) firmato con un encoded signature block embedded su base64, come descritto da articolo di supporto di Microsoft.
Quando viene aperto un file malevolo con uno di queste signature erronee, invece di mostrare la flag di Microsoft SmartScreen e il security warning MoTW, Windows permette al programma di girare in automatico.
Come proteggersi
Le vulnerabilità zero-day sono falle di un software o sistema operativo non note agli sviluppatori o da essi conosciuta ma non ancora gestita. La loro criticità è sotto agli occhi di tutti. Chiunque conosca la debolezza di un software, ignota ai suoi stessi creatori, potrà sfruttarla a proprio favore, sferrando attacchi a colpo sicuro.
Il modo più efficace per fronteggiare minacce legate agli zero-day è avere una robusta postura di cyber security, in grado di offrire una gestione delle patch efficace e veloce, a cui affiancare soluzioni di intrusion detection e prevention di alto profilo.
